○川崎町情報セキュリティポリシー基本方針要綱
平成16年3月26日
要綱第2号
(趣旨)
第1条 当町が取り扱う情報資産には、住民の個人情報を始めとし行政運営上重要な情報など、部外に漏えい等した場合には極めて重大な結果を招く情報が多数含まれている。これらの情報資産を人的脅威や災害、事故等から防御することは、住民の財産、プライバシー等を守るためにも、また、継続的、かつ、安全・安定的な行政サービスの実施を確保するためにも必要不可欠であり、ひいては、当町に対する住民からの信頼の維持向上に寄与するものである。また、近年のいわゆるIT革命の進展により、電子政府や電子自治体の実現が期待されているネットワーク及び情報システムが高度な安全性を有することが不可欠な前提条件となる。このため、当町の情報資産の機密性、完全性及び可用性を維持するための対策を整備するため、情報セキュリティポリシーを定めることとし、情報セキュリティの確保に最大限取り組むこととする。このうち情報セキュリティ基本方針においては、当町の情報セキュリティ対策の基本的な方針として、情報セキュリティポリシーの対象、位置付け等を定めるものとする。
(1) 電子計算機 ハードウェア及びソフトウェアで構成するコンピュータ及び周辺機器並びに記録媒体(磁気ディスク等並びに入出力帳票及び情報システム仕様書等)をいう。
(2) ネットワーク 役場本庁、出先機関などの事務室で使用される電子計算機及び出先機関に設置された公開端末等を相互に接続するための通信網及びその構成機器(ハードウェア及びソフトウェア)で構成され、情報処理を行う仕組みをいう。
(3) 情報システム 電子計算機(業務におけるネットワーク、ハードウェア及びソフトウェア)及び記録媒体で構成され、処理を行う仕組みをいう。
(4) 情報資産 ネットワーク及び情報システムの開発と運用に係る全てのデータ並びにネットワーク及び情報システムで取り扱う全てのデータをいう。
(5) 情報セキュリティ 情報資産の機密の保持及び正確性、完全性の維持並びに定められた範囲での利用可能な状態を維持することをいう。
(6) 機密性 情報にアクセスすることが認可された者だけがアクセスできることを確実にすること。
(7) 完全性 情報及び処理の方法の正確さ及び完全である状態を安全防護すること。
(8) 可用性 許可された利用者が必要なときに情報にアクセスできることを確実にすること。
(9) 職員 地方公務員法(昭和25年法律第261号)で規定された特別職、一般職の中で、当町に勤務する者の総称をいう。
(10) 関係機関の職員等 各種委員会等に勤務し、当町が管理する情報資産を職務で利用する者の総称をいう。
(11) 職員等 当町が管理する情報資産を職務で利用する職員及び関係機関の職員等(それぞれ非常勤職員及び臨時職員等を含む。)の総称をいう。
(12) 外部委託者 職務委託先社員等、契約に基づいて当町の機関で作業する者の総称をいう。
(13) 公開端末 公民館などに設置され、職員及び関係機関の職員等以外の者が操作する端末の総称をいう。
(位置付け)
第3条 情報セキュリティポリシーは、当町が所掌する情報資産に関する情報セキュリティ対策について、総合的、体系的、かつ、具体的に取りまとめたものであり、情報セキュリティ対策の頂点に位置するものである。
(対象範囲)
第4条 情報セキュリティポリシーの適用範囲は、次の各号に定めるものとする。
(1) 適用資産 情報セキュリティポリシーの適用対象資産は、当町における情報資産とする。
(2) 適用対象者 情報セキュリティポリシーの適用対象者は、当町における情報資産に接する全ての職員等(非常勤職員及び臨時職員、関係機関の職員を含む。)とする。
(職員の義務)
第5条 全ての職員等及び外部委託者は、情報セキュリティの重要性について共通の認識をもつとともに業務の遂行に当たって情報セキュリティポリシーを遵守する義務を負うものとする。
(管理体制)
第6条 当町の情報資産について、適切に情報セキュリティ対策を推進・管理するための体制を確立するものとする。
(情報資産の分類)
第7条 情報資産をその内容に応じて分類し、その重要度に応じた情報セキュリティ対策を行うものとする。
(情報資産への脅威)
第8条 情報セキュリティポリシーを策定する上で、情報資産を脅かす脅威の発生度合や発生した場合の影響を考慮すると、特に認識すべき脅威は次のとおりである。
(1) 部外者の侵入による機器又は情報資産の破壊、盗難、故意の不正アクセス又は不正操作による機器又は情報資産の破壊、盗聴、改ざん、消去等
(2) 職員等及び外部委託者による機器又は情報資産の持出・誤操作、故意の不正アクセス又は不正行為による破壊、盗聴、改ざん、消去、搬送中の事故等による機器又は情報資産の盗難、規定外の端末接続によるデータ漏洩等
(3) コンピュータウィルス、地震、落雷、火災等の災害並びに事故、故障等によるサービス及び業務の停止
(情報セキュリティ対策)
第9条 当町の情報資産を前条に示した脅威から保護するために、次の情報セキュリティ対策を講ずるものとする。
(1) 人的セキュリティ対策 情報資産に接する職員等の情報セキュリティに関する権限や責任等を定めるとともに、全ての職員等及び外部委託者に情報セキュリティポリシーの内容を周知徹底する等、教育、訓練、啓発等を実施する。
(2) 物理的セキュリティ対策 情報システムを設置する施設への不正な立入り、情報資産への損傷・妨害等から保護するために物理的な対策を講ずる。
(3) 技術的セキュリティ対策 情報資産を不正なアクセス等から適切に保護するため、情報資産へのアクセス制御、ネットワーク管理、コンピュータウイルス対策等を実施する。
(4) 運用 情報セキュリティポリシーの実効性を確保するため、また、不正なアクセス等から適切に保護するため、システム開発等の外部委託、システムの管理、ネットワークの監視、情報セキュリティポリシーの遵守状況の確認等の運用面における必要な措置を講ずる。また、緊急事態が発生した際に迅速な対応を可能とするための危機管理対策を講ずる。
(情報セキュリティ対策基準の策定)
第10条 当町の様々な情報資産について、前条の情報セキュリティ対策を講ずるに当たっては、職員が遵守すべき行為及び判断等の基準を統一的なレべルで定める必要がある。そのため、情報セキュリティ対策を行う上で必要となる基本的な要件を明記した情報セキュリティ対策基準を策定するものとする。
(情報セキュリティ実施手順の策定)
第11条 情報セキュリティ対策基準を遵守して情報セキュリティ対策を実施するために、個々の情報資産の対策手順等をそれぞれ定めていく必要があることから、情報資産に対する脅威及び情報資産の重要度に対応する情報セキュリティ対策基準の基本的な要件に基づき、情報セキュリティ実施手順を策定するものとする。なお、情報セキュリティポリシー対策基準及び情報セキュリティ実施手順は、公にすることにより当町の行政運営に重大な支障を及ぼすおそれのある情報であることから非公開とする。
(情報セキュリティ監査の実施)
第12条 情報セキュリティポリシーが遵守されていることを検証するため、定期的に監査を実施する。
(評価及び見直しの実施)
第13条 情報セキュリティ監査の結果等により、情報セキュリティポリシーに定める事項及び情報セキュリティ対策の評価を実施するとともに、情報セキュリティを取り巻く状況の変化に対応するために、情報セキュリティポリシーの見直しを実施する。
附則
この要綱は、平成16年4月1日から施行する。
附則(令和2年要綱第5号)
この要綱は、公布の日から施行する。